Cliquer sur un mauvais lien, peut avoir des conséquences très importantes. La preuve : c’est après une attaque de phishing que la boite mail de John Podesta, l’ancien conseiller d’Obama, a été hackée en mars 2016. Mais l’hameçonnage concerne tout le monde, et notamment les petites entreprises !
Le phishing, qu’est-ce que c’est ?
Le terme « phishing » désigne une technique de fraude qui joue sur les failles humaines et non sur des faiblesses technologiques. Les pirates informatiques vont tout simplement « à la pêche » aux identifiants, mots de passe ou informations bancaires, qui sont ensuite exploitées pour voler données, argent ou identité. C’est une des techniques de piratage les plus simples et efficaces, c’est pourquoi il convient de s’en protéger en adoptant de bonnes pratiques en matière de sécurité informatique.
Leur hameçon ? Un simple email, d’apparence respectable, qui redirige l’internaute vers un site où il doit indiquer des données personnelles. Les pirates utilisent généralement l’identité d’organismes de confiance, banques, CAF, assurance maladie, fournisseur d’accès à internet ou impôts, et créent de toutes pièces des sites internet ressemblant comme deux gouttes d’eau à ceux de ces institutions.
Histoires de phishing
L’arnaque à la nigériane est sans doute la technique de phishing la plus célèbre : on a tous reçu, un jour, un email d’une personne affirmant avoir besoin de virer d’importantes sommes sur un compte européen, dans le but de nous soutirer nos coordonnées bancaires.
Aujourd’hui, les pirates ont fait des progrès : pour déjouer la méfiance des internautes, ils misent sur le mimétisme. Ils envoient par exemple un email signé par l’Assurance Maladie, annonçant un remboursement providentiel ; pour en bénéficier, il faut cliquer sur un lien… et indiquer des données personnelles. Les fraudeurs jouent aussi sur l’inquiétude, annonçant la suppression prochaine d’un compte ou un dépassement de forfait téléphonique.
Les bonnes pratiques pour protéger son entreprise
Pour éviter de se faire « phisher », il faut adopter de bons réflexes :
- toujours lire un email dans son intégralité avant de cliquer sur un lien,
- repérer les fautes d’orthographe et les images de mauvaise qualité, signes de phishing.
- vérifiez aussi l’adresse email de l’expéditeur. S’il n’y a pas le nom de domaine qui devrait y figurer ou s’il est altéré, comme dans l’adresse accountsecurity656@mcrosoft.com, cela est très mauvais signe.
- visualisez l’adresse du lien en le survolant avec la souris : si l’adresse du lien cible vous paraît étrange ou « http » apparait à la place de « https», notamment pour un site institutionnel, cela peut être signe d’une tentative de phishing.
Pour protéger son entreprise contre le phishing, il convient d’apprendre et de rappeler régulièrement à ses collaborateurs ces bonne pratiques. Enfin, si ces mesures ne suffisent pas et que vous vous faites hameçonner, adressez-vous vite à un professionnel de l’infogérance informatique qui pourra vous aiguiller sur le sujet.